Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday 29 October 2021

2021.10.29 - Nyhetsbrev

Kripos del av stor aksjon mot organiserte digitale kriminelle. Det tyske selskapet Eberspächer rammet av løsepengevirus-angrep. NSM: Tre ganger så mange alvorlige sikkerhetshendelser i 2020 sammenlignet med 2019. Tyske myndigheter kan ha avslørt identiteten til et fremtredende medlem av REvil. Sophos har utgitt en liste over de mest vanlige utpresningsteknikkene til løsepengevirus-aktører. Apple har sluppet sikkerhetsoppdatering for flere produkter.

Apple har sluppet sikkerhetsoppdatering for flere produkter

Noen av sårbarhetene gjør det mulig for en angriper å ta over enheten og har blitt fikset i følgende oppdateringer: iOS 14.8.1, iPadOS 14.8.1, macOS Monterey 12.0.1, macOS, Big Sur 11.6.1, Security Update 2021-007 Catalina, watchOS 8.1, iOS 15.5, iPadOS 15.1, tvOS 15.1 og Safai 15.1
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

Det tyske selskapet Eberspächer rammet av løsepengevirus-angrep

Eberspächer er et tysk firma som lager bildeler. På søndag ble selskapet rammet av et løspengevirus-angrep og mange av fabrikkene deres ble stengt. Over 1000 ansatte i Tyskland får nå penger fra myndighetene mens de venter på at fabrikkene skal åpne igjen. Firmaet har totalt over 10.000 ansatte. Også en fabrikk i Sverige er rammet av angrepet.
Referanser
https://www.wsj.com/articles/workers-quickly-[...]
https://www.svt.se/nyheter/lokalt/sormland/et[...]

Kripos del av stor aksjon mot organiserte digitale kriminelle

Det har blitt gjennomført ransakinger på flere adresser tilknyttet 12 personer i en koordinert internasjonal politiaksjon mot organiserte digitale kriminelle i Ukraina. Kripos har deltatt i etterforskningen og aksjonen som følge av dataangrepet mot Hydro i 2019.

Etterforskningsgruppen mener de 12 personene har hatt forskjellige roller i et nettverk av kriminelle som står bak alvorlige dataangrep rettet mot over 1.800 ofre i 71 land, inkludert dataangrepet mot Hydro i mars 2019. Gruppen har systematisk angrepet store selskap, og lammet virksomheten deres med skadevare.
Referanser
https://www.politiet.no/aktuelt-tall-og-fakta[...]
https://www.europol.europa.eu/newsroom/news/1[...]
http://

NSM: Tre ganger så mange alvorlige sikkerhetshendelser i 2020 sammenlignet med 2019

NSM har nylig utgitt rapporten Nasjonalt Digitalt risikobilde 2021 der de skriver at det var tre ganger så mange alvorlige sikkerhetshendelser i 2020 sammenlignet med 2019. Norge er nemlig utsatt for spionasje fra flere andre statlige aktører og kriminelle organisasjoner. De nevner hendelsen på Stortinget som en av flere alvorlige hendelser. E-tjenesten og PST har tidligere nevnt at det er spesiell interesse for politikkutforming innenfor forsvars-, utenriks- og sikkerhets-politikk.
Referanser
https://www.digi.no/artikler/nsm-kraftig-okni[...]
https://nsm.no/aktuelt/nasjonalt-digitalt-ris[...]

Sophos har utgitt en liste over de mest vanlige utpresningsteknikkene til løsepengevirus-aktører

Løsepengevirus er en av de vanligste angrepene bedrifter blir utsatt for. Dersom en bedrift har blitt utsatt for løsepengevirus benytter aktørene seg av flere varierte metoder for å få ofrene til å betale. Blant de vanligste metodene finner vi blant annet å true med å publisere data de har stjålet fra bedriften på nett, ringe de ansatte og true med at de skal publisere personlig informasjon om de og å true med å kontakte medier og bedrifts-partnere og spre informasjon om at de har blitt kompromittert. Sophos har lagt ut en full liste over de 10 mest brukte teknikkene.
Referanser
https://news.sophos.com/en-us/2021/10/28/the-[...]

Tyske myndigheter kan ha avslørt identiteten til et fremtredende medlem av REvil

REvil er en løsepengevirus-gjeng som i nyere tid er mest kjent for angrepet mot Kaseya, hvor de ba om 70 millioner dollar i løsepenger. Etter etterforskning har tyske myndigheter undersøkt Nikolay K, som de tror er et medlem av REvil. Nikolay K. er en Russisk person som hevder at han driver med kryptovaluta-investeringer. På nettet viser han en luksuriøs livsstil. Grunnen til at de tror Nikolay er et medlem er at de kan knytte epost-adressen hans til utbetalinger fra løsepengevirus-utbetalinger.
Referanser
http://securityaffairs.co/wordpress/123867/cy[...]

Thursday 28 October 2021

2021.10.28 - Nyhetsbrev

Adobe med sikkerhetsoppdatering for flere produkter. Twitter deler erfaringer om utrulling av hardwarenøkler og 2FA. Cisco har sluppet sin halvårlige sikkerhetsoppdatering for ASA, FMC og FTD.

Adobe med sikkerhetsoppdatering for flere produkter

Adobe har kommet med en rekke sikkerhetsoppdateringer for flere produkter, blant annet Lightroom, Illustrator og Photoshop.
Referanser
https://helpx.adobe.com/security.html

Twitter deler erfaringer om utrulling av hardwarenøkler og 2FA

Twitter deler erfaringer rundt en større utrulling og støtte for hardware-nøkler som YubiKey og andre 2FA-løsninger. Interne brukere er nå pålagt å bruke en hardware-basert sikkerhetsnøkkel, etter en større sikkerhetshendelsen i 2020. Noen av Twitters slutbrukere blir nå også pålagt å bytte til 2FA.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://blog.twitter.com/engineering/en_us/to[...]

Cisco har sluppet sin halvårlige sikkerhetsoppdatering for ASA, FMC og FTD

Cisco har sluppet en oppdatering for flere av sine brannmurer. Flere av sårbarhetene har blitt merket med høy viktighet. EKomCERT framhever i en melding om svakhetene spesielt CVE-2021-34790 og CVE-2021-34791. Disse omhandler sårbarhet i SIP og FTP ALG. Sårbarheten kan utnyttes til å åpne opp ikke-autoriserte forbindelser til bakenforliggende beskyttede systemer, og det er publisert en proof-of-concept(POC) for utnyttelse av sårbarhetene.
Anbefaling
Installer patcher.
Referanser
https://tools.cisco.com/security/center/viewE[...]
https://samy.pl/slipstream/

Wednesday 27 October 2021

2021.10.27 - Nyhetsbrev

150 personer arrestert i internasjonal politiaksjon. Ny malware "SquirrelWaffle" spres via ondsinnede Office-dokumenter. Nettangrep stenger bensinstasjoner over hele landet i Iran. Ny variant av WizardUpdate (UpdateAgent) er funnet.

150 personer arrestert i internasjonal politiaksjon

Politistyrker over hele verden har arrestert 150 mistenkte involvert i kjøp og salg av ulovlige varer på det mørke nettet i en internasjonal operasjon som har involvert 9 land. Operasjonen kjent som Dark HunTOR bestod av flere separate aksjoner i Australia, Bulgaria, Frankrike, Tyskland, Italia, Nederland, Sveits, Storbritannia og USA, og ble ledet av Europol og Eurojust. Mer enn 260 millioner kroner i kontanter og virtuell valuta har blitt beslaglagt i tillegg til 234kg med narkotika og 45 våpen.
Referanser
https://www.europol.europa.eu/newsroom/news/1[...]
https://www.digi.no/artikler/verdensomspennen[...]

Ny malware "SquirrelWaffle" spres via ondsinnede Office-dokumenter

En ny malware kalt SquirrelWaffle har siden september blitt spredd via ondsinnede Office-dokumenter. Dokumentene deles som svar til eksisterende epost-tråder og deles som regel i en zip-fil fra en webserver som trusselaktørene kontrollerer. Zipfilene kan inneholde Excel-ark eller Word-dokumenter, og dersom de åpnes vil makroer kjøres som igjen laster ned og installerer SquirrelWaffle nyttelasten. Etter at systemet er kompromittert kan SquirrelWaffle laste ned og installere QakBot og Cobalt Strike. Cisco Talos har publisert IOCer i form av domener og filhasher.
Referanser
https://blog.talosintelligence.com/2021/10/sq[...]
https://threatpost.com/squirrelwaffle-loader-[...]

Nettangrep stenger bensinstasjoner over hele landet i Iran

Et nettangrep rettet mot bensinstasjoner tirsdag over hele Iran, stengte ned et statlig system som administrerer drivstoffsubsidier. Ingen gruppe tok umiddelbart på seg ansvaret for angrepet, selv om det hadde likheter til en hendelse i juli.

Angrepet hadde samme feilmeldingskode: "64411" som et angrep mot Irans jernbanesystem i juli. Det israelske cybersikkerhetsfirmaet Check Point tilskrev togangrepet til en gruppe hackere som kalte seg Indra, etter den hinduistiske krigsguden.
Referanser
https://www.marketwatch.com/story/iran-says-c[...]

Ny variant av WizardUpdate (UpdateAgent) er funnet

En ny variant av den kjente ondsinnede programvaren WizardUpdate (aka UpdateAgent) som er rettet mot macOS, har blitt funnet. Denne varianten kan blant annet laste ned mer malware, få tak i full nedlastingsoversikt fra de infiserte maskinene, gå forbi Gatekeeper og fjerne karantene-atributtene fra nedlastede filer, bruke eksisterende profiler til å kjøre kommandoer og endre sudoers-listen for å gi aministratorrettigheter til vanlige brukere.
Anbefaling
TSOC anbefaler at antivirus alltid holdes oppdatert med siste versjon.
Referanser
https://www.broadcom.com/support/security-cen[...]

Tuesday 26 October 2021

2021.10.26 - Nyhetsbrev

Flere tilbydere av epost-tjenester har blitt rammet av DDoS-angrep etter trusler.

Flere tilbydere av epost-tjenester har blitt rammet av DDoS-angrep etter trusler

Minst syv forskjellige tilbydere av epost-tjenester har blitt rammet av et stort distribuert DDoS-angrep, som har resultert i lengre avbrudd for tjenestene. Angrepene startet torsdag 21. oktober og varte gjennom helgen. Aktøren sendte ut et krav om løsepenger for å avslutte angrepene. Leverandørene som har blitt påvirket av angrepet er Runbox, Posteo, Fastmail, TheXYZ, Guerilla Mail, Kolab Now, og RiseUp.
Referanser
https://therecord.media/ddos-attacks-hit-mult[...]

Monday 25 October 2021

2021.10.25 - Nyhetsbrev

Svindlere stjal 35 millioner dollar ved bruk av deepfake-lydopptak. Skadevare funnet i den populære npm-pakken UAParser.js. Ofrene for BlackMatter løsepengevirus har fått hjelp i det skjulte til å dekryptere filene sine. Ny aktivitet observert fra den russiske trusselaktøren Nobelium/APT-29.

Svindlere stjal 35 millioner dollar ved bruk av deepfake-lydopptak

Gjennom en kombinasjon av eposter og lydopptak med syntetisert stemme av en direktør i selskapet, ble en filial-leder lurt til å overføre millioner av dollar til svindlere. Dette angrepet er det siste kjente angrepet der en bedrift blir lurt ved bruk av forfalskede stemmer. Etterligningen blir generert med maskinlæringsalgoritmer og blir brukt for å lure utvalgte ofre. Slike svindel-operasjoner har vist seg til å være lukrative og man kan forvente at det vil bli en normal måte for svindlere å angripe bedrifter i fremtiden.
Referanser
https://www.darkreading.com/attacks-breaches/[...]

Skadevare funnet i den populære npm-pakken UAParser.js

Et svært populært Javascript-bibliotek ble modifisert slik at det laster ned en cryptominer og passord-stjeler på maskinen. Pakken blir brukt av flere store bedrifter og blir nedlastet mellom 6 og 7 millioner ganger i uken. Den ondsinnete koden laster ned programvare for både Windows og Linux. For begge operativsystemene ble programvare for utvinning av kryptovaluta lastet ned. Dersom pakken var installert på Windows, lastet den i tillegg også ned en informasjons-stjelende trojaner som trolig er en versjon av Danabot-skadevaren. Denne skadevaren kan stjele informasjon om operativsystemet, informasjons-kaplser fra nettleseren og passord lagret i nettleseren.

De kompromitterte versjonene er 0.7.29, 0.8.0 og 1.0.0 og man burde dermed oppgradere til versjon 0.7.30, 0.8.1 eller 1.0.1. Dette er den fjerde gangen bare denne uken at npm-pakker med malware blir funnet.
Referanser
https://therecord.media/malware-found-in-npm-[...]
https://us-cert.cisa.gov/ncas/current-activit[...]

Ofrene for BlackMatter løsepengevirus har fått hjelp i det skjulte til å dekryptere filene sine

Sikkerhetsfirmaet Emsisoft, som har hjulpet løsepengevirus-ofre siden 2012, fant en feil i BlackMatter sitt løsepengvirus. Feilen medførte at de kunne utvikle et verktøy for å dekryptere filene til BlackMatters ofre. Deretter kontaktet de CERTS, myndigheter, og pålitelige partnere og delte informasjon om dekrypterings-værktøyet.

Emsisoft har siden hjulpet ofre med å dekryptere filene sine og kontaktet ofre de har funnet online. Dette medførte at BlackMatter låste forhandlings-siden sin, slik at kun ofre kunne besøke den. Dette ble gjort for at ikke uvedkommende skulle få greie på hvem som var grupperingens ofre.

Dessverre fikk BlackMatter vite om verktøyet og har siden fikset feilen i koden sin slik at det ikke kan brukes til å dekryptere filer lenger. Dersom man fikk filene sine kryptert før slutten av september, kan man kontakte Emsisoft for hjelp.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Ny aktivitet observert fra den russiske trusselaktøren Nobelium/APT-29

Mircrosoft skriver i en rapport om aktivitet de har observert fra den russiske trusselaktøren Nobelium. Aktøren retter seg mot globale IT-forsyningskjedeor, men har nylig spesifikt rettet seg mot forhandlere og tjenestetilbydere. Målet deres er å kunne bruke tilgangene til forhandlerne og tjenestetilbyderne til å få direkte tilgang til forsyningskjedeorganisasjonene.
Referanser
https://blogs.microsoft.com/on-the-issues/202[...]

Friday 22 October 2021

2021.10.22 - Nyhetsbrev

Cisco har slupper sikkerhetsoppdateringer. Løsepengevirusgruppe utgir seg for å være en ekte bedrift for å rekruttere personer med mye teknologisk kunnskap. Google har vist hvordan svindlere tok over YoutTube-kanaler og brukte dem til å spre kryptosvindel. Myndigheter har tatt ned løsepengevirus gruppen REvil.

Cisco har slupper sikkerhetsoppdateringer

Cisco har sluppet sikkerhetsoppdateringer, blant disse en oppdatering som fikser en svakhet med høy alvorlightsgrad i IOS XE SD-WAN programvare. Denne svakheten kan gjøre det mulig for en en lokal angriper å ta kontroll over et berørt system.
Referanser
https://tools.cisco.com/security/center/publi[...]

Løsepengevirusgruppe utgir seg for å være en ekte bedrift for å rekruttere personer med mye teknologisk kunnskap

En kriminell organisasjon, som er mistenkt for å ha bygget programvare brukt i Colonial Pipeline angrepet, rekrutterer nå personer gjennom legitime bedrifts-fronter. Den falske bedriften går under navnet Bastion Secure og utga seg for å selge sikkerhetstjenester. Gruppen som står bak bedriften er egentlig kjent som Fin7/Carbanak, en russisk finansielt motivert bande som i hovedsak angriper Amerikanske bedrifter. Personer som ble "ansatt" ble bedt om å bryte seg inn i bedrifters nettverk.
Referanser
https://www.wsj.com/articles/ransomware-gang-[...]
https://www.bleepingcomputer.com/news/securit[...]

Google har vist hvordan svindlere tok over YoutTube-kanaler og brukte dem til å spre kryptosvindel

Google har avslørt at teknikken som ble brukt for å stjele kanalene startet med phishing. Angriperne sier at de gjerne vil betale for reklame og demonstrasjon av programvare de selger. Når mottakeren trykker på linken i mailen lastes det derimot ned programvare som stjeler informasjonskapsler fra mottakerens nettleser. Informasjonskapslene som lastes ned inneholder informasjon som autentiserer mottakeren mot YouTube. Med disse informasjonskapslene kan angriperen utgi seg for å være mottakeren og hoppe over innloggingsprosessen for å få tilgang til mottakerens YouTube-kanal.
Referanser
https://www.wired.com/story/youtube-bitcoin-s[...]

Myndigheter har tatt ned løsepengevirus gruppen REvil

På mandag hadde vi en sak om at ransomware-gruppen REvil igjen hadde miset kontroll over sin infrastruktur. Gruppens nettsted "Happy Blog", hvor de delte informasjonen til målene deres, var ikke tilgjengelig.

Det viser seg nå at myndigheter har klart å ta over deler av nettverket før deres tidligere leder omtalt som "Unknown" tok ned infrastrukturen til REvil. Da 0_neday tok infrastrukturen opp igjen startet det også serverne/backupene som hadde blitt kompromittert av myndighetene. Det er ukjent hvilke lands myndigheter som står bak aksjonen, men det skal være en partner av USA.
Referanser
https://www.reuters.com/technology/exclusive-[...]

Thursday 21 October 2021

2021.10.21 - Nyhetsbrev

Google med sikkerhetsoppdatering til Chrome. 13 teleoperatører har blitt angrepet av LightBasin. Quickfox VPN har eksponert data for en million av deres brukere. Skadevare brukes til å ta over brukeres clip-board og stjele kryptovaluta.

Google med sikkerhetsoppdatering til Chrome

Google har sluppet sikkerhetsoppdatering for Chrome på Windows, Linux og Mac. Oppdateringen fikser 19 sikkerhetshull hvor 5 har fått en høy alvorlighetsgrad.
Referanser
https://chromereleases.googleblog.com/2021/10[...]

13 teleoperatører har blitt angrepet av LightBasin

Gruppen kjent som LightBasin har gjennomført målrettede angrep mot flere forskjellige teleoperatører i forsøk på å få tak i kundedata og metadata om samtaler. LightBasin ble først oppdaget i 2016, og har siden 2019 kompromittert data fra over 13 telekommunikasjons-operatører. De benytter seg av tilpassede egenlagde verktøy for å angripe målene. Så langt har det ikke blitt avslørt hvilke teleoperatører som har blitt rammet. Det anbefales at teleoperatørene konfigurer brannmurene til å kun tillate trafikk på porter hvor det faktisk skal gå trafikk.
Referanser
https://thehackernews.com/2021/10/lightbasin-[...]

Quickfox VPN har eksponert data for en million av deres brukere

VPN-tjenesten Quickfox, som gjør det mulig å nå kinesike nettsteder, har eksponert data for mer enn 1 million brukere. Quickfox hadde miskonfigurert tilgangskontrollen for Elasticsearch, som medførte at hvem som helst kunne hente ut loggene og sensitiv informasjon fra Quickfox sine brukere. Brukere i Kina, Indonesia, Japan, Kazakhstan og USA har vært påvirket av feilen. Informasjonen var både personlig identifiserbar informasjon som epost adresse, navn og telefonnummer og informasjon om programvare og enheter for over 300 000 brukere. Det er ikke kjent hvorfor Quickfox sammler inn disse dataene da det ikke er nødvendig for funksjonaliteten til VPN-tjenesten.
Referanser
https://threatpost.com/vpn-exposes-data-1m/175612/

Skadevare brukes til å ta over brukeres clip-board

Analyse av kjent skadevare viser at angripere tar over utklippstavlen på enheten. Når brukeren kopierer og limer inn adressen til kryptovaluta-lommeboken blir den endret til en angripers adresse. Ved hjelp av denne metoden har de klart å lure til seg 24,7 millioner dollar.
Referanser
https://www.techradar.com/news/hackers-are-hi[...]

Wednesday 20 October 2021

2021.10.20 - Nyhetsbrev

Oracle tilgjengeliggjør høstens kvartalsvise sikkerhetssoppdateringer.

Oracle tilgjengeliggjør høstens kvartalsvise sikkerhetssoppdateringer

Oracle har sluppet de kvartalsvise oppdateringene for tredje kvartal. Oppdateringen inneholder 419 patcher for flere av deres produkter. Flere av svakhetene gjør det mulig å ta kontroll over et system over nettet uten å være innlogget.
Referanser
https://www.oracle.com/security-alerts/cpuoct[...]

Tuesday 19 October 2021

2021.10.19 - Nyhetsbrev

APT gruppen Lyceum er tilbake. Trusselaktøren TeamTNT med kampanje på Docker Hub. Twitter suspenderer kontoer som brukes til å lure sikkerhetsforskere.

APT-gruppen Lyceum er tilbake

APT gruppen Lyceum, som tidligere har vært assosiert med målrettede angrep i midtøsten, har nylig dukket opp igjen med ny skadevare og taktikker som har fellestrekk med de som brukes av APT-grupper som knyttes til Iran.

Det er sikkerhetsforskere ved Kaspersky som har undersøkt dette og funn viser at APT-gruppen har gått fra tidligere PowerShell scripts og .NET-baserte verktøy (DanBot) til ny skadevare skrevet i C++. Blant annet er det to nye bakdør-variasjoner som har blitt kalt James og Kevin, og er designet for å kommunisere med C2 over sikker DNS- og HTTP-tunnellering.
Referanser
https://www.darkreading.com/attacks-breaches/[...]
https://www.broadcom.com/support/security-cen[...]

Trusselaktøren TeamTNT med kampanje på Docker Hub

Uptycs Threat Research Team har nylig oppdaget en kampanje på Docker Hub, hvor trusselaktøren TeamTNT har lastet opp en ondsinnet container image som inneholder script for å laste ned verktøy forbundet med penetrasjons-testing. Dette gir trusselaktøren mulighet til å skanne etter flere mål inne i offerets lokalnett og deretter utføre flere ondsinnede handlinger.
Referanser
https://www.uptycs.com/blog/team-tnt-deploys-[...]
https://securityaffairs.co/wordpress/123535/c[...]

Twitter suspenderer kontoer som brukes til å lure sikkerhetsforskere

Twitter har lukket to kontoer @lagal1990 og @shiftrows13 som er brukt for å lure sikkerhetsforskere til å laste ned skadelig programvare i en langvarig cyber-spionasje-kampanje som tilskrives Nord-Korea.

Dette er andre gang at Twitter har iverksatt tiltak mot kontoer knyttet til Nord-Korea, etter å ha suspendert en annen konto knyttet til spionasjekampanjen i august.

Kampanjen ble først oppdaget av Google Threat Analysis Group (TAG) i januar og pågår fortsatt.
Referanser
https://threatpost.com/twitter-suspends-secur[...]

Monday 18 October 2021

2021.10.18 - Nyhetsbrev

REvil stenger sannsynligvis ned for godt. CISA, FBI og EPA har sluppet en rapport om pågående trussler mot amerikanske vann- og avløps-fasiliteter. Windows 10, iOS 15, Ubuntu, Chrome, Safari, VMWare kompromittert i Kinas Tianfu hacker-konkurranse.

REvil stenger sannsynligvis ned for godt

REvil-operasjonen har sannsynligvis stengt ned igjen for godt, etter at en ukjent person har kapret Tor-betalingsportalen og datalekkasjebloggen deres. Dette skjedde etter at noen fikk tak i de private krypteringsnøklene til banden.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

CISA, FBI og EPA har sluppet en rapport om pågående trussler mot amerikanske vann- og avløps-fasiliteter

Rapporten de har gitt ut kommer med detaljer om trusler mot amerikanske vann- og avløps-fasiliteter. Flere vannverk har i det siste blitt utsatt for ransomware. De beskriver mitigerings-metoder og gir pekere mot videre informasjon for å motvirke og mitigere trusler.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

Windows 10, iOS 15, Ubuntu, Chrome, Safari, VMWare kompromittert i Kinas Tianfu hacker-konkurranse

Kinesiske sikkerhetsforskere tok med seg 1,88 millioner dollar hjem etter å ha hacket noe av verdens mest populære programvare på Tianfu Cup, landets største og mest prestisjetunge hackekonkurranse.

I juli kunngjorde arrangørene en rekke mål, og deltakerne hadde tre til fire måneder på seg til å forberede utnyttelses-kode som de ville bruke på konkurransens scene.

Det var to utnyttelser som skilte seg ut i år: Den første var en ekstern kjøring av kode mot iPhone 13 med det nyeste operativsystemet IOS 15 installert. Den andre var en enkel totrinns-kjede for kjøring av ekstern kode mot Google Chrome, noe som ikke har blitt sett i en hackingkonkurranse på flere år.
Referanser
https://therecord.media/windows-10-ios-15-ubu[...]
https://thehackernews.com/2021/10/windows-10-[...]

Friday 15 October 2021

2021.10.15 - Nyhetsbrev

Google sporer mer enn 270 stats-støttede aktører.
Russland og Kina ble utestengt fra globalt møte om løsepengevirus.

Google sporer mer enn 270 stats-støttede aktører

Google har sluppet en rapport der de avslører at de sporer mer enn 270 stats-støttede aktører (APT) fra over 50 land som prøver å bryte seg inn i deres brukeres Google-kontoer. Google har et eget varslings-system som varsler brukere dersom stats-støttede aktører prøver å bryte seg inn i en konto, og så langt i år har over 50.000 brukere fått denne advarselen. Antallet advarsler så langt i år har gått opp med over 30%.
Referanser
https://blog.google/threat-analysis-group/cou[...]

Russland og Kina ble utestengt fra globalt møte om løsepengevirus

Mer enn 30 land deltok på møte som USA holdt for å styrke forsvaret mot løsepengevirus, det ble diskutert hvordan de kunne forstyrre løsepengevirus-aktører sin infrastruktur, styrke forsvaret mot løsepengevirus, bruken av kryptovaluta til å hvitevaske pengene og legge press på land som gir løsepengevirus-aktører muligheten til å operere derfra. Det viktigste tiltaket vil i første omgang bli å forstyrre betalingskanalene som aktørene bruker, ved å få børser for kryptovaluta til å identifisere alle kundene sine (AML).

Russland og Kina er sett på som land der de ikke slår hardt ned på aktører som driver med løsepengevirus, USA og den nye alliansen mot løsepengevirus ønsker å legge press på dem slik at aktører ikke kan operere trygt fra disse landene lenger.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Thursday 14 October 2021

2021.10.14 - Nyhetsbrev

Grupperingen SnapMC stjeler heller data enn å installere ransomware. VirusTotal med rapport om ransomware. Flere sikkkerhetsoppdateringer fra Juniper. Coinbase-angripere stjeler engangs-passord via phishing.

Grupperingen SnapMC stjeler heller data enn å installere ransomware

Det har blit mer normalt for angripere å stjele informasjon og deretter drive utpressing av offeret. SnapMC er en gruppe som benytter seg av slike angrepsmetoder, hvor de etter et vellykket angrep viser til litt av dataene som de har stjålet for å oppnå legitimet hos offeret. De gir deretter offeret 24 timer til å ta kontakt og 72 på å forhandle. SnapMC benytter seg tilsynelatende av svakheter som er offentlig tilgjengelig, som svakheten CVE-2019-18935, en svakhet i Telerik UI for ASPX.NET.
Anbefaling
Vi anbefaler å sikre tjenester som er sårbare for SQL-injeksjon og Telerik UI for ASPX.NET. Vær på utkikk etter "whoami"-oppslag og lignende kommandoer i terminal som brukes til å få overblikk etter å ha kompromittert en server.
Referanser
https://blog.fox-it.com/2021/10/11/snapmc-skips-ransomware-steals-data/

VirusTotal med rapport om ransomware

VirusTotal lanserer sin første ransomware rapport. De har identifisert minst 130 forskjellige ransomware-familier fra over 80 millioner analyserte filer. Ransomware starter oftest gjennom social engineering, type phishing, eller gjennom droppers og trojanere med fjernstyringsmulighet.
Referanser
https://blog.google/technology/safety-security/we-analyzed-80-million-ransomware-samples-heres-what-we-learned/
https://storage.googleapis.com/vtpublic/vt-ransomware-report-2021.pdf

Flere oppdateringer fra Juniper

NkomCSIRT melder at Juniper i går kveld publiserte informasjon om flere alvorlige sårbarheter som berører en rekke av Junipers produkter inklusive Junos OS og Junos OS Evolved.

"Flere av sårbarhetene berører prosessering av nettverkstrafikk, enten i form av mottak eller videresending, som kan føre til at ruter krasjer. Det er også flere sårbarheter knyttet til prosessering av BGP meldinger og konfigurasjon av BGP"
Referanser
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES

Coinbase-angripere stjeler engangs-passord via phishing

Hackere som målretter seg mot Coinbase benytter seg av "opprett bruker"-funksjonen millioner av ganger for å skaffe seg lister over potensielle ofre. De sender deretter ut phishing-eposter til aktive brukere. Dersom første del av angrepet er vellykket og offeret skriver inn informasjonen sin på phishing-siden, varsles angriperne i sanntid. Via et admin-panel kan svindlerne automatisk be om mer informasjon fra brukeren, slik som engangspassord. Tradisjonelle engangspassord fungerer dessverre dårlig mot denne typen målrettede angrep.
Referanser
https://krebsonsecurity.com/2021/10/how-coinbase-phishers-steal-one-time-passwords/

Wednesday 13 October 2021

2021.10.13 - Nyhetsbrev

Adobe har sluppet patcher for flere produkter. Microsoft patcher 77 svakheter, én utnyttes aktivt i angrep.

Adobe har sluppet patcher for flere produkter

I forbindelse med patche-tirsdag har Adobe sluppet oppdateringer for sine produkter. Oppdateringene gjelder produktene Adobe Acrobat/Reader, Connect, Reader Mobile, ops-cli, Commerce og Campaign Standard.
Anbefaling
Installer patcher.
Referanser
https://helpx.adobe.com/security/security-bul[...]

Microsoft patcher 77 svakheter, én utnyttes aktivt i angrep

I forbindelse med patche-tirsdag for oktober har Microsoft rettet opp i 77 svakheter. 3 av sårbarhetene er vurdert til å være kritiske og befinner seg i HyperV og Microsoft Word.

Én av svakhetene, CVE-2021-40449, har allerede blitt benyttet i aktive angrep av trusselaktøren MysterySnail, til å eskalere rettigheter på kompromitterte servere. Svakheten har blitt brukt i forbindelse med spionasje mot IT-selskaper, bedrifter som leverer til forsvarsindustrien samt statlige enheter. Det er Kaspersky som har avslørt svakheten og kampanjen. De mener det er Kina som står bak.
Anbefaling
Installer patcher.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...]
https://www.bleepingcomputer.com/news/microso[...]
https://securelist.com/mysterysnail-attacks-w[...]

Tuesday 12 October 2021

2021.10.12 - Nyhetsbrev

Hackere med forbindelse til Iran kompromitterer Office 365-kontoer. NSA advarer mot bruk av wildcard TLS-sertfikater. iOS 15.0.2 og iPadOS 15.0.2 fikser svakheter som utnyttes i aktive angrep.

Hackere med forbindelse til Iran kompromitterer Office 365-kontoer

Hackere har kompromittert Office 365-kontoer til over 20 virksomheter ved å teste samme passord mot forskjellige brukernavn, såkalt passord-spraying. Hackergruppen som står bak regnes som ny og har fått navnet DEV-0343, men har allikevel blitt knyttet til Iran gjennom teknikker som er brukt, målutvelgelse og andre mønstre.

Angrepene blir utført fra TOR IP-adresser og i tidsperioder som samsvarer med når det er dagtid i Iran. Angrepene starter med å gå gjennom aktive brukere og gjøres gjennom Exchange server-tjenestene Autodiscover og ActiveSync i følge Microsoft. Microsoft har sluppet informasjon om hvordan angrepene kan detekteres, men det beste er å slå på multi-faktor autentisering. Ingen kontoer med MFA slått på har blitt kompromittert.
Referanser
https://www.microsoft.com/security/blog/2021/[...]
https://therecord.media/microsoft-iran-linked[...]

NSA advarer mot bruk av wildcard TLS-sertfikater

NSA har utgitt et skriv om farene ved bruk av TLS-sertifikater med wildcard hvor de kommer med flere anbefalinger for hvordan man kan sikre servere. Wildcard-sertifikater er sertifikater som dekker hele domener, av typen *.virksomhet.no. En av utfordringene er at dersom én server blir kompromittert, kan dette også utgjøre en risiko for andre servere som representeres av det samme wildcard-sertifikatet. En angriper kan bruke det kompromitterte sertifikatet til å opprette falske web-servere og også til å dekryptere trafikken til/fra servere som omfattes av sertifikatet.
Anbefaling
Ta de nødvendige tiltakene for å sikre mot utnyttelse av wildcard-sertifikater.
Referanser
https://www.nsa.gov/Press-Room/Press-Releases[...]

iOS 15.0.2 og iPadOS 15.0.2 fikser svakheter som utnyttes i aktive angrep

Svakheten har gjort det mulig for applikasjoner å kjøre vilkårlig kode med kernel-rettigheter på grunn av en feil i komponenten IOMobileFrameBuffer (CVE-2021-30883). Apple har fått rapporter om at svakheten allerede har blitt aktivt utnyttet av angripere.
Anbefaling
Oppdater til nyeste versjon av iOS og iPadOS så fort det lar seg gjøre.
Referanser
https://support.apple.com/en-us/HT212846
https://www.bleepingcomputer.com/news/securit[...]

Monday 11 October 2021

2021.10.11 - Nyhetsbrev

Flere svakheter patchet i Androids oktober-oppdatering. FIN12: Ransomware-bande som aggressivt har rettet seg mot helsesektoren. Microsoft har publisert sin årlige digitale forsvarsrapport.

Flere svakheter patchet i Androids oktober-oppdatering

Google har sluppet sin månedlige sikkerhetsoppdatering for Android. Det har blitt patchet svakheter i både Android Runtime, Android Framework, Media Framework og System. Alle disse svakhetene har blitt kategorisert med viktighet "høy". Google opplyser at den mest alvorlige svakheten ligger i System-komponenten og kan la en angriper kjøre kode med administrator-rettigheter på systemet. Qualcomm har også fikset flere kritiske svakheter i sine WLAN-drivere.
Referanser
https://source.android.com/security/bulletin/[...]

FIN12: Ransomware-bande som aggressivt har rettet seg mot helsesektoren

Mandiant Intelligence har utgitt en omfattende rapport som beskriver FIN12, en aggressiv, økonomisk motivert trusselaktør som står bak mange ransomware-angrep siden minst oktober 2018.

FIN12 skiller seg ut blant ransomware-bandene, siden de uforholdmessig ofte retter seg inn mot helsesektoren. De spesialiserer seg på en bestemt fase av angrepets livssyklus - distribusjon av ransomware - mens de stoler på andre trusselaktører for å få første tilgang til ofrene sine. Denne spesialiseringen gjenspeiler det nåværende ransomware-økosystemet, som består av forskjellige løst knyttede aktører som samarbeider, men uten ekslusive avtaler.
Referanser
https://www.mandiant.com/resources/fin12-rans[...]

Microsoft har publisert sin årlige digitale forsvarsrapport

Microsofts har utgitt sin digitale forsvarsrapport som dekker perioden fra juli 2020 til juni 2021.

Funnene dekker trender på tvers av aktivitet fra statlige aktører, nettkriminalitet, sikkerhet i forsyningskjeden, hybrid arbeid og desinformasjon. Blant annet er russiske cyberangrep blitt en enda større risiko for ikke-russiske regjeringer enn tidligere: hele 58 prosent av statlige angrep stammet fra Russland i løpet av det siste året.
Referanser
https://blogs.microsoft.com/on-the-issues/202[...]

Friday 8 October 2021

2021.10.08 - Nyhetsbrev

Flere sikkerhetsoppdateringer utgitt for Apache HTTP-serverproblem. Google varsler 14 000 Gmail-brukere om målrettede phishing-angrep. Google har gitt skkerhetsoppdatering for Chrome.

Flere sikkerhetsoppdateringer utgitt for Apache HTTP serversvakhet

Flere sikkerhetsoppdateringer utgitt for å løse en Apache HTTP serversvakhet etter at det ble funnet at reparasjonen for CVE-2021-41773 i Apache HTTP Server 2.4.50 var utilstrekkelig.
Referanser
https://www.zdnet.com/article/additional-fixe[...]
https://httpd.apache.org/security/vulnerabili[...]

Google varsler 14 000 Gmail-brukere om målrettede phishing-angrep.

Google har sendt e-postvarsler til mer enn 14 000 Gmail-brukere om at de har vært målet for et phishing-angrep organisert av den statlige sponsede hackinggruppen APT28.
Referanser
https://therecord.media/google-notifies-14000[...]

Google har gitt skkerhetsoppdatering for Chrome

Google har gitt ut ny versjon av Chrome for Windows, Mac og Linux. Denne fikser fire sikkerhetssvakheter rangert med høy kritikalitet.
Referanser
https://chromereleases.googleblog.com/2021/10[...]

Thursday 7 October 2021

2021.10.07 - Nyhetsbrev

Biden-administrasjonen ønsker å danne massiv allianse for motarbeide løsepengevirus. Sikkerhetsoppdateringer tilgjengelige for Firefox 93.

Sikkerhetsoppdateringer tilgjengelige for Firefox 93

Mozilla har sluppet nye sikkerhetsoppdateringer til Firefox 93. Oppdateringene forhindrer utnyttelse av en rekke svakheter, hvorav fire anses som kritiske. Flere av feilene var relatert til memory-safety og kunne i verste fall utnyttes til å eksekvere vilkårlig kode på systemet.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Biden-administrasjonen ønsker å danne massiv allianse for motarbeide løsepengevirus

I en pressekonferanse uttalte USAs president, Joe Biden, at de ønsker å samle 30 land til et møte hvor det skal diskuteres hvordan man kan begrense spredningen av løsepengevirus. De ønsker også å danne alliansen "Counter-Ransomware Initiative" som skal arbeide mot det samme formålet. Tidligere i år ble også Ransomware Task Force etablert, som bestod av representanter fra en rekke større teknologi- og sikkerhetsaktører, deriblant Microsoft, McAfee og Citrix. Biden-administrasjonen varslet samtidig om hard linje mot Russland, da FBI mener at russiske aktører har stått bak de nylige løsepengevirus-angrepene mot kritisk infrastruktur i USA.
Referanser
https://www.digi.no/artikler/danner-massiv-al[...]
https://www.digi.no/artikler/sikkerhetsgigant[...]

Wednesday 6 October 2021

2021.10.06 - Nyhetsbrev

Nytt løsepengevirus benytter Python-skript til å kryptere alle virtuelle disker på VMware ESXi. Twitch kildekode og brukerutbetalinger har blitt stjålet og lagt ut på nettforum. Nulldagssårbarhet i Apache (Medium).

Nytt løsepengevirus benytter Python-skript til å kryptere alle virtuelle disker på VMware ESXi

En nylig gjennomført undersøkelse av et løsepengevirusangrep har vist at angripere har benyttet et tilpasset Python-skript for å kryptere samtlige virtuelle disker på ESXi serverne hos offeret. Sikkerhetsselskapet Sophos har skrevet et blogginnlegg om hvordan skriptet kryptererer diskene.
Referanser
https://news.sophos.com/en-us/2021/10/05/pyth[...]

Twitch kildekode og brukerutbetalinger har blitt stjålet og lagt ut på nettforum

Kildekoden til Twitch.tv og store mengder brukerinformasjon fra tjenesten er blitt lastet opp på det anonyme nettforumet 4chan. Lekkasjen inneholder kildekode med kommentarhistorikk, lister med utbetalinger til brukere, og krypterte passord til alle brukere registrert på tjenesten fra tidlig oppstart til så sent som mandag 4. oktober 2021.
Referanser
https://www.videogameschronicle.com/news/the-[...]

Nulldagssårbarhet i Apache

En sårbarhet introdusert i Apache HTTP Server 2.4.49 gjør det mulig for en angriper å aksessere filer som vanligvis skulle vært utilgjengelige. Dette ble mulig etter at en endring ble gjort i måten Apache normaliserer filstier på. Sårbarheten er fikset i nyeste versjon av webserveren.
Anbefaling
Telenor anbefaler at alle som kjører Apache HTTP Server v2.4.49, oppdaterer til siste versjon så snart som mulig.
Referanser
https://threatpost.com/apache-web-server-zero[...]
https://blog.sonatype.com/apache-servers-acti[...]
https://httpd.apache.org/security/vulnerabili[...]

Tuesday 5 October 2021

2021.10.05 - Nyhetsbrev

Ransomware-gruppe arrestert i Ukraina etter stor internasjonal politiaksjon. Firma som ruter milliarder av tekstmeldinger sier at det ble hacket. Hvordan Facebook forsvant fra Internett.

Ransomware-gruppe arrestert i Ukraina etter stor internasjonal politiaksjon

Den 28. september utførte Gendarmerie Nationale, Ukrainsk politi og FBI en koordinert aksjon mot en kriminell organisasjon kjent for ransomware-angrep.

Denne aksjonen resulterte i arrestasjonen av to viktige operatører fra organisasjonen. Organisasjonen er mistenkt i å ha utført en rekke målrettede angrep mot store industrielle selskaper i både Europa og Nord-Amerika. I disse angrepene har de kriminelle operatørene stjålet sensitive data, og deretter kryptert filer for å kreve løsepenger.
Referanser
https://www.europol.europa.eu/newsroom/news/r[...]

Firma som ruter milliarder av tekstmeldinger sier at det ble hacket

Syniverse håndterer milliarder av tekstmeldinger i året, og hackere hadde uautorisert tilgang til systemet i årevis.

Et selskap som er en kritisk del av den globale telekommunikasjons infrastrukturen som brukes av AT&T, T-Mobile, Verizon og flere andre rundt om i verden som Vodafone og China Mobile, avslørte at hackere har vært inne i systemene i mange år. Dette påvirker mer enn 200 av kundene og potensielt millioner av mobiltelefonbrukere over hele verden.

Ifølge en ansatt hos en telefonoperatør, kan hackerne hatt tilgang til metadata som lengde og kostnad, innringerens og mottakerens nummer, plasseringen av partene i samtalen, samt innholdet i tekstmeldinger.
Referanser
https://www.vice.com/en/article/z3xpm8/compan[...]

Hvordan Facebook forsvant fra Internett

Facebook og tilknyttede tjenester som WhatsApp og Instagram var nede i går kveld. De hadde DNS problemer, i tillegg var infrastrukturens IP-er utilgjengelige.

Facebook har nå publisert et blogginnlegg som inneholder detaljer om hva som skjedde internt. Cloudflare har i tillegg observert problemene fra et eksternt perspektiv.
Referanser
https://blog.cloudflare.com/october-2021-face[...]

Monday 4 October 2021

2021.10.04 - Nyhetsbrev

Conti Ransomware utvider muligheten til å ødelegge sikkerhetskopier.

Conti Ransomware utvider muligheten til å ødelegge sikkerhetskopier

Conti ransomware-gjengen har utviklet nye taktikker for å ødelegge sikkerhetskopier, spesielt i Veeam-gjenopprettingsprogramvaren.
Conti starter rutinemessig angrepene sine ved å installere en Cobalt Strike Beacon. Cobalt Strike er et legitimt, kommersielt tilgjengelig verktøy opprinnelig designet for penetrasjonstestere. Dette verktøyet brukes av Conti for å finne sikkerhetshull i målets nettverk.
Deretter brukes fjern-administreringsverktøyet Atera i kombinasjon med Ngrok for å opprettholde en tilkobling til det infiserte nettverket via eksponerte serverporter.
I mange av angrepene Advanced Intelligence har sett, blir denne angrepsrutinen brukt av Conti sine operatører for å få tilgang til priviligerte brukerkontoer i Veeam-backupsystemet.
Advanced Intelligence beskriver disse nye rutinene i sin rapport publisert 29.09.21.
Referanser
https://threatpost.com/conti-ransomware-backu[...]
https://www.advintel.io/post/backup-removal-s[...]

Friday 1 October 2021

2021.10.01 - Nyhetsbrev

Brian Krebs om tjenester for å få tak i SMS-engangspassord. Google ute med fiks for to nye 0-dagssvakheter i Chrome.

Brian Krebs om tjenester for å få tak i SMS-engangspassord

I februar skrev KrebsOnSecurity om en tjeneste som hjelper angripere å fange opp engangspassordene (OTP-er) som mange nettsider krever som en nummer to godkjenningsfaktor i tillegg til passord. Denne tjenesten ble raskt frakoblet, men konkurrenter har siden lansert botbaserte tjenester som gjør det enkelt for angriperne å få tak i OTP fra mål.

Bruk av tjenestene krever at angriperen allerede har tilgang til brukernavnet og passordet til brukeren. Offeret blir lurt til å gi fra seg engangskoden ved hjelp av forfalskede telefon-oppringninger som spør etter koden som nettopp har blitt mottatt.
Referanser
https://krebsonsecurity.com/2021/09/the-rise-[...]

Google ute med fiks for to nye 0-dagssvakheter i Chrome

Google har nå gitt ut en ny oppdatering til Chrome for å fikse to nye 0-dagssvakheter i nettleseren. Det er ikke gitt ut mye informasjon om 0-dagssvakhetene, ettersom Google ønsker å holde informasjonen begrenset inntil en stor andel av Chrome-brukere har fått oppdatering. Dette er andre gangen at Chrome får en haste-oppdatering i september.
Referanser
https://threatpost.com/google-emergency-updat[...]

 
>